TT czyli Trojans Teory
Kożystanie z trojanów. Większość z was pewnie uśmichnie się i pomysli o czasach pradawnych kiedy to kożystało się z trojanów z łezką w oku. Chociaż jest pewnie niewiele osób nie potrafiących obsługiwać koni trojańskich uważam, że dla prawdziwego lamera może sprawić problem. Na początek trochę teori. Jeżeli wiesz, co to są porty i jak mniej więcej działają to nie musisz czytać tej części.1.Co to w sumie jest port?Postaram się mniej więcej pokazać na prostym przykładzie jak działają trojany. Na samym początku przyjmijmy, że internet to jakieś miasto i to dość spore miasto, w którym znajduje się naprawdę duża ilość ogromnych wieżowców ze sporą ilością okien. Taki wieżowiec to nasz komputer. W środku tego wieżowca żyją sobie jacyś ludzie ( programy), którzy coś robią ( konwertują muzykę, odtwarzają ją, pozwalają nam grać w gry) korzystając przy tym z gazu, elektryczności wody, ( czyli w naszym przykładzie z karty dźwiękowej, graficznej, cdrom-u etc..)... Jak każdy blok nasz komputer oprócz programów (ludzi), sprzętu(instalacji w bloku) posiada też porty, które najłatwiej pokazać jako okna. Tak te okna, przez które wyglądasz codziennie rano. Każdy komputer posiada ok. 63055 takich okienek. Każdy z nich morze być otwarte lub zamknięte. Wszystkie operacje, które wykonujesz w internecie to otworzenie na jakiś czas okna, krzyknięcie czegoś np. ( www.Google.pl ) i poczekanie na odpowiedź od innego bloku, który odkrzyknie nam zawartość strony internetowej. Kiedy wysyłasz pocztę otwierasz okienko nr. 25 (SMTP) wyrzucając przez nie listy, które dolatują do bloku o nazwie np. onet.pl też do okienka nr. 25 a tam w tym oknie siedzi jakiś pan, który sortuje wszystkie listy, jakie do niego przyszły i pilnuje, żeby doszły do bloku, do którego zostały zaadresowane. Tak samo jest ze wszystkim, co robisz w internecie. Teraz wyobraź sobie, że przychodzi do swojego qmpla do bloku ( do komputera ) otwierasz mu okno nr np. 7895 i sadzasz w tym okienku program ... ale Twój qmpel o tym nic nie wie... teraz przychodzisz do siebie otwierasz okno u siebie w domu i krzyczysz do tego kolesia w bloku u qmpla, co siedzi w okienku nr. 7895 "Hej wywal mu ten program "xxx"" wtedy ten koleś idzie szuka u niego w bloku tego jakiegoś "xxx" i go wykopuje czekając na dalsze komendy. I takim właśnie programem jest trojany. Jest to coś, co nasłuchuje na jakimś porcie, który jest otwarty i z którym możesz się połączyć i wydawać mu polecenia. Różne trojany mają różne charakterystyczne dla siebie porty. Na porcie wcale nie musi siedzieć akurat trojan. Może to być program do obsługi poczty, transferu FTP lub też jakiś serwer http. Coś, co rozumie jakieś polecenia i je wykonuje. Mam nadzieję, że zrozumiałeś, co to jest port, że trojan otwiera ten port i czeka na Twoje polecenia... Jeżeli teraz przeczytasz dalszą część związaną z praktyką Na bank wszystko Ci się poukłada.1.2 Co to jest IP?IP to jak na razie może dla Ciebie .... troszkę skłamie, ale to tak jak adres dla komputera. Tak to najłatwiej wytłumaczyć ... Ty możesz mieszkać na ulicy Błotnej numer zachlapany, ale jak chcesz "zadzwonić" do komputera to musisz znać jego numer. taki numer składa się z 12 liczb oddzielonymi kropkami. xxx.yyy.zzz.vvv np. 192.168.0.1 lub 213.76.56.16 itd..., Jeżeli będziesz łączył się z zainfekowanym komputerem musisz znać Jego adres jak go zdobyć ? Niektóre trojany rozsyłają adresy z których komunikują się na mail-e, inne mogą wysyłać te same dane np. na komunikatory (ICQ), opcji jest tyle ile pomysłów, zależy z jakiego trojana będziemy korzystać :) Może służyć też do tego polecenie "ipconfig" wywołane w tym czarnym okienku z białym migającym podkreśleniem. Lub też w Win9x wydane w uruchom polecenie "winipcfg" ot wszystko... Jak chciałbyś używać swojego IP lub testować na własnym kompie to możesz pisać "127.0.0.1" lub "localhost" :)1.3 Co to jest telnet i inne usługi ?Telnet to po krótce mówić program który służy do pukania do okna komputera. Pozwala on połączyć się nam na jakiś port komputera np. wpisane w uruchom:"telnet 192.168.0.1 51966"pozwoli nam połączyć się z komputerem o numerze 192.168.0.1 na port 51966, jeżeli na tym porcie siedzi np. trojan CafeIni to przywita się z nami CAFEiNi 1.1 (cafeini@viper.pl) - wpisz HELP aby uzyskać listę opcjiC:\WINDOWS\Pulpit>I udostępni nam swoje opcje w formie tekstowej. Jak nie rozumiecie to czytajcie dalej na bank się wam rozjaśni.2.Trojany w praktyceZaczniemy od dwóch standardów jakim jest "prosiak" i "Net bus" potem pokażę, jeszcze co ciekawsze trojany. No ale koniec gadania do dzieła. Każdy trojan składa się z 2-3 części:1. serwer - program który jest wirusem. Podkładamy go koledze. To właśnie on otwiera port (okno) i czeka na nasze polecenia2. klient - występuje w prawie każdym trojanie. Czasem jest nim przeglądarka www czasem styknie telnet. Ale generalnie jest to program dzięki któremu możemy połączyć się z serverem. Czyli coś co pozwala wydawać mu komendy. Odpalamy go generalnie u siebie na kompie.3. konf. - program służący konfiguracji servera. trudno tu mówić o jego opcjach ponieważ to wymagało by omnibusostwa ... pozwala poprostu zmienić coś w działaniu serwera np. port na którym ma być dostępny.Ok. rozpatrzymy standardowego "prosiaka". Jest to antyk ale łatwo go znaleźć w sieci nowe polskie trojanki można ściągnąć z www.trojanypl.prv.pl... serdecznie polecam tę stronkę początkującym. Strona wymaga rejestracji jednak nie powinniśmy się nią martwić. Ściągamy trojana prosiak0.7b7 z internetu na nasz dysk i ewentualnie rozpakowujemy go do katalogu. Wchodzimy do środka. Zobaczymy tam dwa pliki z mordką prosiaczka. o nazwach "konfig.exe" i "client.exe". Uruchamiamy na początek plik "konfig.exe". Jest to właśnie program do konfiguracji serwera. Stworzenia wręcz programu, który będzie naszym "wirusem". Klikamy na zakładce "nowy" i wpisujemy nazwę pliku naszego trojana (serwera) u mnie "fajny_prg"exe". Możemy zauważyć, ze katalogu pojawił nam się nowy plik. pole identyfikator to nic innego jak poprostu dowolnie wybrana przez nas nazwa a hasło, to hasło którego będzie wymagał trojan zanim będziemy wydawać mu komendy. Mój identyfikator to: "mojpierwszytrojan" (bez cudzyslowiow) a haslo:"123abc" (tez bez cudzyslowiow, wszystko co bedzie napisane w cudzysłowach służy tylko wyodrębnieniu tekstu wpisywanego od reszty...piszcie BEZ CUDZYSŁOWIÓW !). Na zakładce sieć zobaczymy kilka opcji. Numerek obok "uruchom backdoor-a" to port, na który będziemy łączyć się z backdorem (trojanem ineczej). Ja u siebie zostawiłem, "44444" czyli coś, co jest charakterystyczne dla prosiaka. Poniżej mamy coś takie jak telnetd. Jest to nic innego jak zdalna linia poleceń. Kiedy połączymy się na ten port ( u mnie zostawiłem "230" ) dostaniemy coś takiego: Microsoft(R) Windows 95 (C)Copyright Microsoft Corp 1981-1996.C:\WINDOWS\Pulpit\Prosiak 0.7b7> czyli najnormalniejsze okienko DOS w którym możemy wykonywać dowolne polecenia tak jakbyśmy siedzieli właśnie u kolegi na komputerze ! httpd to natomiast interfejs, kilka opcji, które proponuje trojan dostępnych po wpisaniu odpowiedniego adresu w przeglądarce w formie strony internetowej. Co to jest za opcja proxy ? Z angielskiego pośrednik. Proxy to generalnie komputery, który służą nam do łączenia się z internetem maskując np. nasz IP lub cachując strony. My łączymy się np. z komputerem 192.168.0.1 na po 123 a on jako serwer proxy łączy nas z jakimś innym komputrem na wybrany przez nas port. Opcja localhost (port) to to na jaki port będziemy łączyć się do kolegi, a remotehost to na jaki komputer przekaże nas komputer kolegi ...Moje ustawienia wyglądają tak:tik Uruchom Backdoor "44444"tik Uruchom telnetd "230"tik Uruchom httpd "800"tik Uruchom proxy ...Lokalny port "23"Zdalny Host "192.168.16.2" Zdalny Port "123"Teraz jak połączymy się na port 23 do kolegi to tak na serio połączymy się na port 123 do komputera 192.168.16.2, być może na tym porcie możemy mieć innego trojana, ale gdyby ten trojan został wykryty i byłby sprawdzane połączenia to osoba sprytna sprawdziła by kto się z nim łączy jednak nie zobaczyła by naszego komputera, tylkokomputer kolegi który pełni rolę serwera proxy :)Na zakładce powiadomienie mamy opcję powiadamiającą nas o stanie trojana i adresie na który mamy się z nim połączyć! Po co to ? Otóż np. modemowycy z TPSA co wejście do internetu dostają inne IP. Więc co przyszło Ci z tego że wczoraj kumpel miał IP xxx.yyy.zzz.vvv skoro dziś ma aaa.bbb.ccc.ddd Trojan dba o to abyśmy wiedzieli jak mamy się łączyć i wysyła do nas mail-a na podanym e-mail. Pierwszą opcję ustawiłem na "1", jeden mail. Serwer pocztowy to usługodawca, któremu zlecimy wysyłanie e-maili. Można wpisać jednego z wielu np. "smtp.wp.pl", "poczta.onet.pl" lub "smtp.tenbit.pl", ale najelpsze rozwiązanie to chyba dorwanie jakiegoś SPAM-u ze skrzynki przegrzebanie listu i wyrwania z nagłówka jakiego OpenRylea ... ale to wykracza poza obszar tego artykułu. Ja w miejscu na serwer wpisałem "smtp.wp.pl" a mój e-mail :) No to wpisz swój jakikolwiek by nie był :) Co to jest install shield ? Otóż :/ w sumie to tak. Jak zainstalować wirusa qmplowi na kompie, tak aby nie wiedział ? no najlepiej wcisnąć mu że to jakiś fajny program ...i dać mu plik serwera w postaci instalki, do jakiegoś programu. Więc tu możemy ustalać paramtetry tej instalacji. Jeżeli się na to zdecydujesz wpisz Nazwę aplikacji ( jakąś na kótrej Twojemu qmplowi bardzo by zależało) Przerwij po xx% to po prostu po ilu % aplikacja zasymuluje błąd i przestanie liczyć. Jeżeli jest zaznaczone pokaż błąd na koniec instalacji to wyskoczy jakieś okienko z informacją o błędzie. I teraz możemy na tym poprzestać albo też być sprytniejsi. Powiedzmy, że qmple chce koniecznie mieć WinAmp-a 5 czy coś takiego, więc robimy tak Nazwa Aplikacji "WinAmp 5" przerwij po 100% NIE POKAZUJEMY komunikatu błędu a na koniec zaznaczamy po instalacji uruchom program "setup.exe" "Normalnie" i teraz tak... tobie naliczy się do 100% a potem skończy się uruchamiać trojan i odpali się plik setup.exe ( będący w tym samym katalogu, co trojan) który może być tą samą instalką :) Qmpel odpali trojana i będzie mu też instalował się WinAmp- 5 i chociaż wygląda to podejrzanie na pewno mniej podejrzanie niż instalka qmpla która nagle niedziała ! Jeżeli jeszcze dodać do tego opcje bindowania to już wgóle można szaleć ! Ale to też wykracza poza ten artykuł. Na zakładce inne, możemy kazać komputer zresetować po jakimś czasie, powiedzieć, czy ma się instalować serwer ( oczywiście bo o to właśnie nam chodzi ) możemy poprosić aby nie uruchamiać od razu serwera po instalacji, uruchomi się po zresetowaniu komputera. Opcja loguj klawisze do pliku to nic innego jak zapisywanie wszystkiego co ktoś wklepuje na klawiatórkę do pliku. W ten sposób można np. wyłudzać genialnie hasła :) Logowanie poleceń klienta, to zapisywanie wszystkich czynności które będziemy robić na komputerze kolegi po zainstalowaniu mu trojana. A logowanie aplikacji ? To to, jakie aplikacje były uruchamiane ostatnim razem :) Możemy też i tutaj nakazać uruchomić serwerowi jakiś program niekoniecznie jawnie. Ja np. odpaliłbym nc (netcat) na nasłuchu z opcją ukryty :) To byłoby coś :) W opcjach instalacja mówimy w jakim pliku kryje się server. Jak nazywa się usługa jaką imituje,zależy od niej odpowiedni wpis w rejestrze. Resztę opcji ExeFile ... Klikamy na "Zapisz" i wuala !3.Instalacja serweraNiema nic prostszego odpalamy pliczek, który pojawił się nam w katalogu :) U mnie "fajny_prg.exe" :) Jak go odpalimy mamy zainfekowanego kompa :) P.S. Dobrze jest najpierw przetestować trojana na komputerze, na którym pracujemy :) Jest to bardzo wygodne :)4.Łączymy się Kiedy nasz program jest już uruchomiony i czeka na nas na jakimś komputerze ( u mnie 195.128.45.123 ) na jakimś porcie ( u mnie 44444 ) z jakimś hasłem ( u mnie 123abc ) to wystarczy tylko się z nim połączyć ? Ale jak ... służy do tego klient ( jeżeli jesteś powiadamiany na mail-a o adresie komputera, to ściągnij najnowsze dane ze swojego e-maila na jaki komputer masz się łączyć ) Więc odpalamy programik ( u siebie na kompie nie u kolegi on tylko musiał mieć odpalony stworzony za pomocą programu konfig.exe plik serwera ) plik o nazwie "client.exe" . Musimy tu wypełnić trzy pola. Pierwsze to adres komputera ( Numer IP ) ja wpisuje "195.128.45.123" ( P.S. Jeżeli testujesz trojana na swoim komputerze wpisz tu "127.0.0.1" lub "localhost" to są adresy tożsame z komputerem na którym pracujesz tak zwany loopback ! ) Dalej podajemy port u mnie "44444" i hasło u mnie "123abc" kiedy już poprawnie wpisaliśmy te dane klikamy na "POŁĄCZ". I już jesteśmy właśnie mamy kontrolę nad komputerem, wszystko, co teraz będziemy kazać zrobić komputerowi będzie się działo na kompie kolegi, u którego jest serwer zainstalowany :) Zapukaliśmy do jego okienka, w którym siedzi nasz szpieg wykonywujący w jego bloku nasze polecenia :) He he, Jeżeli coś nie działa :( Sprawdź czy serio zainstalowałeś trojana na kompie można to zrobić w bardzo prosty sposób ... po wpisaniu w Uruchom "regedit" pojawi ci się edytor rejestru sprawdź czy istanieje tam klucz "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersi on\RConfig" Wewnątrz klucza znajdziesz wszystkie informacje, hasło i inne dane ... jeżeli klucz nie istnieje trojan jest albo nie zainstalowany albo wymaga zresetowania kompa. Jeżeli klucz istnieje a trojan nie działa, zresetuj komp sprawdź wszystkie parametry trojana, jakie są zapisane w tym kluczu i wpisz je w kliencie ! Musi zadziałać ! Całkiem możliwe że kolega używa firewall-a :/ A wtedy kichaOk. Powiedzmy, że udało się nam, co dalej ? No cóż ... Mógłbym powiedzieć baw się sam ... ale wolę chyba jeszcze opisać kilka, co ciekawszych opcji... np., Do czego służy ów skaner ? Wyobraź sobie, ( ale pewnie to wiesz, że komputery a raczej ich adresy różnią się w pewnych zakresach tylko jedną liczbą np. jeżeli jest komputer o adresie 195.128.45.123 to jest też pewnie komputer o adresie 195.128.45.124 (125,126...254) ... o właśnie czyli możemy przypuszczać , że na tę jedną pulę adresów będzie przypadało 254 kompówod 195.128.45.1...do 195.128.45.254Jak teraz sprawdzić czy przypadkiem ktoś na którymś z nich nie zainstalował prosiaka ? Można łączyć się ręcznie na każdy , ale byłoby to baaardzo pracochłonne ... do tego właśnie służy skaner. Jest on wbudowany w klienta i łączy się na port jaki podamy mu w opcji port z adresami komputerów zaczynających się na "IP sieci (100.100.100)" z końcówkami od 1 do 254 ok, czyli jak zostawimy tak:IP sieci "100.100.100"od "1"do "254"port "44444"to komputer sprawdzi czy nie ma trojana na porcie 44444 w komputerach:100.100.100.1100.100.100.2100.100.100.3... ( i tak aż do )100.100.100.254 :) Proste nie :)OK resztą pobaw się sam ... a ja tylko zlecę do tego telnetu i już kończę !więc ... pamiętasz jak konfigurowałeś serwer ? Ustawiałeś tam oprucz portu backdoor-a kilka innych portów :) Teraz z nich skorzystamy :) najpierw telnetd... zanim jednak użyjesz tego cudownego narzędzia musisz połączyć się z komputerem za pomocą zwykłego narzędzia, jakim jest klient. Bez tego żadna usługa nie zadziała ! więc kiedy jesteśmy już połączeni odpal STARTURUCHOM i wpisz "telnet ip.z.twoim.trojanem port" u mnie "telnet 195.128.45.123 230" (port który wpisaliście podczas konfiguracji serwera. Jak nie pamiętacie możecie otworzyć sobie plik serwera za pomocą konfig.exe klikając "czytaj" i sobie sprawdzić :) Ok :) klikamy OK. i co się nam pojawia mi się pojawiło :) Tak właśnie zwykłe okienko DOS-a :) Ale nie mojego tylko DOS-a kolego u którego jest zainstalowanym trojan ... jakbyś teraz wydał słynne "format c:" to sformatowałbyś koledze dysk :) możesz teraz kopiować pliki i robić wszystko na co ci tylko przyjdzie ochota. Musisz tylko pamiętać, że działa to tylko po nawiązaniu połączenia z serwerem za pomocą klienta :) Ok. Teraz jeszcze jedna rzecz słynnych httpd. Otwieramy przeglądarkę internetową ja odpalę swojego Avanta :) i wpisujemy adres w postaci "http://ip.z.twoim.trojanem:port/" u mnie "http://195.128.45.123:800/" Mamy tu kilka fajnych opcji na stronie interetowej możemy przeglądać sobie czyjeś dyski twarde :) zobaczyć co właśnie porabia, obejrzeć wiadomości o systemie wykonać jakąś komendę lub też najnormalniej we wszechświecie zobaczyć cały plik z logami klawiszy :) I to byłoby na tyle na temat prosiaka :) Mam nadzieję, że chociaż uchyliłem rąbka tajemnicy :) Teraz Twoje zadanie to poćwiczenie na innych trojanach dzisiaj to znaczy w kwietniu 2004 prosiak to antyk ! jednak najlepiej uczyć się na klasykach :) Z co ciekawszych na dzień dzisiejszych trojanów... albo nie będę polecał bo to i tak się zdezaktualizuje więc :) Proponuję :) zaglądać na forum www.haker.com.pl :) Jeżeli ta strona będzie istnieć to zawsze można znaleźć tam coś na ząb o trojanach :) Polecam :)
Początek formularza
Dół formularza
mago_plp